Día Europeo de la Protección de Datos: la garantía de protección de los usuarios
El derecho a la protección de datos es un derecho fundamental amparado en el artículo 18.4 de la Constitución Española, donde se insta al legislador a limitar el uso de la informática para garantizar el honor, intimidad personal y familiar de los ciudadanos, así como el pleno ejercicio de sus derechos.
El creciente uso de la informática y de la tecnología entrañaba, y sigue entrañando, una gran amenaza en lo relativo a la seguridad del tratamiento de nuestros datos personales. Ello derivaba, a su vez, en una gran incertidumbre e inseguridad jurídica, por lo que el legislador se vio obligado a delimitar un marco normativo específico encaminado a proteger y garantizar la protección de los datos personales de los ciudadanos.
La protección de datos es un camino en constante evolución, y los retos legislativos cada vez son mayores, debido a la rápida evolución de los sistemas de tratamientos de datos. En este sentido, podemos señalar las dos principales normativas que rigen en nuestro país en lo referido a la protección de datos personales: por una parte, contamos con el Reglamento General de Protección de Datos (RGPD) de aplicación a los estados miembros de la Unión Europea, y, por otra, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), que adapta a nuestro ordenamiento jurídico el modelo europeo contenido en el RGPD.
Asimismo, el interés de los ciudadanos y entidades en lo relativo a la protección de datos ha ido creciendo de manera progresiva, yendo más allá del mero cumplimiento legal, habiéndose desarrollado una verdadera conciencia social al respecto. Cada vez los ciudadanos son más conscientes del valor que comprenden sus datos personales, y ello influye de manera directa en las decisiones que adoptan como consumidores, así como en el ejercicio de los derechos que le confiere la normativa a acceder, rectificar y suprimir sus datos, entre otros derechos.
En lo que respecta a nivel empresarial, la protección de datos se ha asumido como una parte de su política de responsabilidad social corporativa, convirtiéndolo en elemento distintivo de la organización.
De igual modo, el incumplimiento de las exigencias contenidas en la normativa de protección de datos puede tener repercusiones significativas en la continuidad del negocio de las empresas y autónomos. Por ello, aprovechamos el 28 de enero, Día Europeo de la Protección de Datos, para mencionar qué aspectos tener en cuenta para garantizar el cumplimiento del RGPD y la LOPDGDD, así como los beneficios vinculados a su aplicación.
¿Qué debo hacer para cumplir el RGPD?
En primer lugar, conviene comprender las figuras del responsable y encargado de tratamiento. El responsable de tratamiento constituye la persona física o jurídica que determina cómo serán tratados los datos personales, es decir, la empresa, autónomo o persona que realiza una actividad profesional, ostentando la obligación de aplicar las medidas técnicas y organizativas necesarias para garantizar la seguridad de dichos tratamientos de datos. Por otro lado, la figura del encargado del tratamiento almacenará los datos por cuenta del responsable, cuyo vínculo se regirá por un contrato entre ambas partes en el que se delimiten las obligaciones tanto del responsable como del encargado.
Entre las principales obligaciones exigibles de cara a cumplir con lo establecido en el RGPD está la elaboración de un registro de actividades de tratamiento, documento que deberá contener la información necesaria relativa al tratamiento de datos por parte del responsable. La información exigible que debe contener dicho registro viene reflejada en el artículo 30 del RGPD.
Para aquellas entidades que realizan tratamientos con un escaso nivel de riesgos, la Agencia Española de Protección de Datos (AEPD) pone a disposición de la ciudadanía la herramienta gratuita FACILITA RGPD, como ayuda para el cumplimiento del RGPD para cualquier empresa o profesional.
Con la entrada en vigor del RGPD entró en juego la nueva figura del delegado de protección de datos (DPD o DPO, por sus siglas en inglés), cuya finalidad es informar y asesorar al responsable o encargado de tratamiento, así como supervisar el cumplimiento de lo dispuesto en el RGPD y la LOPDGDD, cooperando con la autoridad de control y siendo el nexo de unión entre esta y el responsable y/o encargado. El RGPD exige la designación de esta figura a determinadas entidades, como los organismos públicos, o aquellas entidades que requieran una observación habitual de datos a gran escala o que realicen tratamiento de datos a gran escala de categorías especiales de datos. Por su parte, la LOPDGDD detalla en su artículo 34 aquellas entidades que tienen la obligación de designar un DPD.
En aquellos supuestos en los que un tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas el responsable deberá realizar, previo al tratamiento, una evaluación de impacto de protección de datos, cuyos resultados nos ayudarán a mitigar los riesgos que nuestra actividad pueda suponer para la privacidad y seguridad del tratamiento de los datos. En este sentido, la AEPD ha elaborado la guía “Gestión del riesgo y evaluación de impacto en tratamientos de datos personales”, con la finalidad de mejorar el cumplimiento de los responsables a la normativa de protección de datos, sobre todo enfocado en los procesos de gestión y gobernanza de las entidades.
Aun con todo, existe el riesgo de sufrir una brecha de seguridad que comprometa la privacidad de los datos tratados y que ocasione la destrucción, pérdida o alteración accidental o ilícita de los datos personales. En consecuencia, habría que analizar el alcance de dicho incidente, ver qué datos se han visto afectados y cómo ello puede afectar a los derechos y libertades de los afectados y, en caso de que se considere que el incidente puede conllevar un alto riesgo para los derechos y libertades, comunicarlo ante la AEPD. La AEPD facilita recursos al ciudadano para ayudarle así en la toma de decisiones de comunicación a la autoridad de control (ASESORA BRECHA) o a los interesados (COMUNICA BRECHA).
El responsable tendrá un plazo máximo de 72 horas para notificar la brecha a la APED, desde que se haya tenido constancia de la misma, salvo en aquellos supuestos en los que se demuestre que el incidente no haya constituido riesgo para los derechos y libertades de las personas físicas. Dicha comunicación deberá realizarse en todo caso a través de la sede electrónica de la AEPD usando el formulario de notificación de brechas específico.
¿Qué beneficios encontramos al contar con una política de protección de datos?
El correcto cumplimiento de la protección de datos puede proporcionar un valor añadido a nuestra organización, aumentando la confianza de nuestros clientes, al garantizar que sus datos van a ser tratados de manera lícita, leal, transparente, exacta, confidencial, limitando la finalidad de los mismos y minimizando su uso para las finalidades necesarias, así como conservados durante el tiempo necesario para el tratamiento específico.
Además, una correcta implementación de la normativa ayudará a evitar sanciones y multas por incumplimiento normativo. En caso de producirse algún incidente de seguridad por causas ajenas a la entidad, esta sabrá cómo reaccionar debidamente, poniendo las medidas técnicas y organizativas necesarias para paliar el impacto producido, así como adoptar los mecanismos necesarios para evitar futuros incidentes. El no tener una política de cumplimiento adecuada ante este tipo de acontecimientos podría generar un impacto reputacional grave, así como una pérdida de competitividad y clientes, además de dejar abierta la puerta a posibles amenazas de ciberseguridad en los sistemas de entidad y en los datos contenidos en los mismos.
¿Y cómo podemos garantizar su correcto cumplimiento?
Contar con una política de cumplimiento nos ayudará a dar cumplimiento a los aspectos legales y éticos fundamentales en nuestra entidad o sector.
Además, será de especial importancia formar y concienciar a los miembros de nuestra organización en la importancia de la privacidad, de cara a prevenir posibles incidentes de seguridad ocasionados por falta de conocimiento. En definitiva, incorporar la protección de datos a nuestra estrategia de negocio repercutirá positivamente en la seguridad, competitividad y reputación de nuestra empresa y su imagen pública.
Recuerda que puedes contactar con nosotros a través del servicio Tu Ayuda en Ciberseguridad de INCIBE: la Línea de Ayuda 017, los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto para empresas que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.